ゼロトラストのディープダイブ(6)-SSE(Security Service Edge)

Last updated at 2022-05-12Posted at 2022-05-09

はじめに

今回は、クラウド・セキュリティの四つの技術に含まれる、SSEの勉強です。

背景
- リモートワークにより、社員用PCが従来の多層防御の外に出てしまった
- PCを守るものは、セキュリティ対策ソフトが中心に
- この状況にサイバー攻撃者が付け込み、フィッシング/マルウェアメール、VPN脆弱性を狙った攻撃を仕掛けるようになった
- 企業は、すべてのアクセスに対し信頼せず安全性を検証/制御する、ゼロトラスト・セキュリティモデルへの転換を迫られた
ゼロトラストモデルのアーキテクチャ
- セッション単位でアクセスユーザーと利用デバイスが信頼できるか確認
- ユーザーに対し、最小権限の原則に基づくアクセス制御を設定すること
- マイクロセグメンテーションにより、それぞれのサーバー・アプリケーションを個別保護

上述要件に基づいた新しいセキュリティの考え方がSASE。

ネットワーク機能とセキュリティ機能を統合した、クラウドネイティブなアーキテクチャ。
SASEは製品やソリューションではなく、複数の製品やソリューションを組み合わせたもの。

目的
- 従来の企業ネットワーク中心の境界型セキュリティ防御から脱却
- クラウド型エッジを境界とした、全体を俯瞰できるセキュリティ対策
機能
- すべての機能はサービスとしてクラウドから提供される
- すべての機能を単一のダッシュボードから一元管理できる
- オンプレミス環境との接続を維持するためのネットワーク要件も存在(SD-WANなど)
構成要素
- CASB(Cloud Access Security Broker)
- SWG(Secure Web Gateway)
- ZTNA(Zero Trust Network Access)
- SD-WAN(Software Defined Wide Area Network)
- FWaaS(Firewall as a Service)
SASEの問題点
- 完全な統合フレームワークの実現には、複数ベンダー製品の統合や新たな投資が必要
- SASEモデルへの完全移行は、ハードルが高く時間がかかる

そのため、ガートナー社が提唱したSASEへの新たなアプローチが、SSE(Security Service Edge)。
SASEのセキュリティ機能のみ切り離したもので、高度に統合されたセキュリティプラットフォーム。

SWG(Secure Web Gateway)
- プロキシ経由のセキュアなWebアクセス
- インターネットやWeb、クラウドアプリケーションへのアクセスを保護
- ユーザアクセスのコンプライアンス維持を支援
- クラウドプラットフォームへの高速なローカル接続が必要
CASB(Cloud Access Security Broker)
- APIおよびプロキシ経由のセキュアなSaaSアクセス
- SaaSアプリケーションへの接続を保護
- クラウドのアプリとデータを管理し、機密データの損失を防止することで、コンプライアンス維持
- すべてのデータを1箇所で管理し、ポリシーコントロールを簡素化
ZTNA(Zero Trust Network Access)
- プライベートアプリケーションへのセキュアなリモートアクセス
- オンプレミスのデータセンターやクラウドで稼働するプライベートアプリケーションへの接続を保護
- 従来のVPNを必要とせず、安全なリモートアクセスを可能にする
- 攻撃対象領域を少なくすることで、リモートユーザのセキュリティを強化

SASEは、単一クラウドプラットフォーム上にセキュリティとネットワーク技術を集約させる
- ゼロトラストに基づく安全なネットワークを実現するフレームワーク
- 本社と拠点間の通信をスター型につなぐことで耐障害性を担保
  - ただし、ネットワーク更改にコストがかかる
- クラウドサービス利用はネットワークを介さず、直接インターネット接続可能
  - ローカルブレイクアウト方式
SSEはSASEのセキュリティ機能部分により構成される
- Web/クラウドサービス/プライベートアプリケーションへのアクセスを保護
- アクセス制御/脅威保護/データセキュリティ/セキュリティモニタリング/使用制御などの機能を持つ
- SASE同様、すべてがクラウドサービスで提供され、複数ベンダーのサービスをAPIにより統合

SSEの基本知識およびSASEとの関連性を理解しました。
次回は、SSPM(SaaSセキュリティ状態管理)を勉強します。
これもクラウド・セキュリティの四つの技術に含まれます。
お楽しみに。